(door Federica, advocaat en manager van Aidr Regione Lombardia) Op 1 april jl. onderging de INPS-website een belangrijk datalek.
Het zeer hoge aantal toegangen voor het verzoek van de bonus van € 600 die werd erkend na de noodsituatie van Covid19 gooide letterlijk de site en de gegevens van een aanzienlijk aantal belastingbetalers werden illegaal verspreid en bleven enige tijd zichtbaar , waardoor betrokkenen worden blootgesteld aan ernstige risico's voor hun rechten.
De situatie zou op deze manier voldoende rampzalig zijn geweest, maar om het nog erger te maken, werd het delen op sociale netwerken van de screenshots van de "geschonden" profielen toegevoegd, wat duidelijk heeft bijgedragen tot de verdere verspreiding van de gegevens.
Het fundamentele punt betreft precies dit "wilde" delen van de screenshoots, hoewel het werd uitgevoerd om het INPS-datalek te documenteren.
Er zijn twee verschillende aspecten waarmee rekening moet worden gehouden: de werking van het netwerk enerzijds en de wetgeving inzake de bescherming van persoonsgegevens anderzijds.
Laten we beginnen met de werking van het netwerk.
De publicatie van online inhoud stelt gebruikers in staat om opnieuw te delen wat anderen hebben gepubliceerd, waardoor de verspreiding ervan effectief wordt vergroot naarmate de doelgroep groeit.
Hoe hoger het aantal aandelen, hoe groter de openbaarmaking van de betreffende inhoud.
Dit betekent dat de negatieve waarde van het nieuws, zoals in het geval van de gegevens die duidelijk worden weergegeven voor de storing van de INPS-site, recht evenredig is met het aantal aandelen, dat wil zeggen met het aantal, al was het maar potentieel, van proefpersonen die erover kunnen leren.
Het is daarom gemakkelijk te begrijpen dat de schade groter is als men op verschillende manieren bijdraagt aan het verspreiden van het nieuws.
En het lijdt geen twijfel dat het maken van screenshots van de persoonlijke gegevens van andere mensen en het online plaatsen ervan helpt om de schade die al door het datalek zelf is veroorzaakt, te verergeren.
Wat betreft de regelgevende gegevens, de Europese Verordening 2016/679 betreffende de bescherming van persoonsgegevens, definieert art. 4, inbreuk op persoonlijke gegevens "de inbreuk op de beveiliging die per ongeluk of onrechtmatig de vernietiging, het verlies, de wijziging, de ongeoorloofde openbaarmaking of de toegang tot de verzonden, opgeslagen of anderszins verwerkte persoonlijke gegevens met zich meebrengt".
De aflevering, of beter gezegd de afleveringen die op de INPS-website plaatsvonden, vallen in alle opzichten onder dit effect.
De Europese wetgeving voorziet ook in specifieke meldingsverplichtingen aan de Garant, maar niets zegt over de verplichtingen die worden opgelegd aan degenen die om verschillende redenen betrokken moeten zijn bij een datalek.
Dit betekent niet dat gebruikers geen beperkingen mogen respecteren, aangezien ze in ieder geval onderworpen zijn aan de algemene principes van de AVG, met als gevolg dat ze geen persoonlijke gegevens kunnen verwerken en daarom niet openbaar kunnen maken zonder een geldige rechtsgrondslag.
In de praktijk vertaald betekent dit dat de verspreiding van screenshots van het privéprofiel met de sociale zekerheidspositie van een gebruiker, ook om de anomalie en dus het datalek te melden, niet op sociale netwerken kan worden gemaakt.
De verspreiding, veroorzaakt door het mechanisme waarmee het netwerk en individuele sociale netwerken werken, heeft als effect dat de verspreiding, op een wilde en ongecontroleerde manier, wordt versterkt van dezelfde gegevens waarvan de overtreding wordt gemeld.
Met andere woorden, de gebruiker met zijn / haar aandelen helpt het negatieve effect en de mogelijke schade als gevolg van de verspreiding van de gegevens te vergroten.
Er moet ook aan worden toegevoegd dat het ontbreken van een geldige rechtsgrondslag voor de behandeling, het delen van de screenshoots op dezelfde manier een ongeoorloofde behandeling wordt die, althans in theorie, zou kunnen worden blootgesteld aan de sancties waarin de GDPR en het wetsbesluit 101 voorzien. / 2018.
Anders dan de hypothese waarin de screenshoots in kwestie waren gedeeld na verduistering van persoonlijke gegevens, met als enig doel het aantonen van de storing van de INPS-site.
Het delen van screenshots en persoonlijke gegevens heeft in het specifieke geval een zodanige schaal aangenomen dat een officiële tussenkomst van de Garant vereist is.
Met het persbericht van 2 april 2020, om de verspreiding van gegevens en het negatieve potentieel van hun verspreiding te beperken, heeft de Autoriteit gespecificeerd dat "Om de risico's niet te vergroten voor mensen wier persoonsgegevens bij de inbreuk en om geen mogelijke strafbare feiten te plegen, vestigt de Autoriteit de aandacht op de absolute noodzaak dat iedereen die persoonlijke gegevens van anderen heeft leren kennen, deze niet mag gebruiken en mag voorkomen dat deze aan derden worden meegedeeld of verspreid, bijvoorbeeld via sociale kanalen, die zich tot dezelfde personen richten Garant om alle relevante aspecten te melden ".
De aandacht voor alles wat wordt gedeeld moet daarom altijd op het hoogste niveau worden gehouden, vooral wat betreft persoonsgegevens, aangezien het risico van waardestijging en het reële gevaar voor de rechten van de betrokken proefpersonen veel groter is dan wat je kunt denken.
Elke beoordeling van de rechtmatigheid van een uitwisseling moet daarom precies een moment voor verzending plaatsvinden, aangezien zodra de inhoud onherstelbaar onze beschikbaarheid heeft verlaten, het niet langer mogelijk is om de inhoud te controleren en te beheren met alle gevolgen van dien, waaronder juridische ze vloeien hieruit voort.